gitweb: Serve */*+xml 'blob_plain' as text/plain with $prevent_xss
commite8c35317172aab9da7afe555da603021a3ae89e5
authorJakub Narebski <jnareb@gmail.com>
Thu, 30 Jun 2011 09:39:21 +0000 (30 11:39 +0200)
committerJunio C Hamano <gitster@pobox.com>
Thu, 30 Jun 2011 18:26:48 +0000 (30 11:26 -0700)
tree80b5f0cbbc86ad2ea24a0146aeba9a8c2561ebe7
parent86afbd02c890eca08424174b7d6e583af38b0363
gitweb: Serve */*+xml 'blob_plain' as text/plain with $prevent_xss

Enhance usability of 'blob_plain' view protection against XSS attacks
(enabled by setting $prevent_xss to true) by serving contents inline
as safe 'text/plain' mimetype where possible, instead of serving with
"Content-Disposition: attachment" to make sure they don't run in
gitweb's security domain.

This patch broadens downgrading to 'text/plain' further, to any
*/*+xml mimetype.  This includes:

  application/xhtml+xml    (*.xhtml, *.xht)
  application/atom+xml     (*.atom)
  application/rss+xml      (*.rss)
  application/mathml+xm    (*.mathml)
  application/docbook+xml  (*.docbook)
  image/svg+xml            (*.svg, *.svgz)

Probably most useful is serving XHTML files as text/plain in
'blob_plain' view, directly viewable.

Because file with 'image/svg+xml' mimetype can be compressed SVGZ
file, we have to check if */*+xml really is text file, via '-T $fd'.

Signed-off-by: Jakub Narebski <jnareb@gmail.com>
Signed-off-by: Junio C Hamano <gitster@pobox.com>
gitweb/gitweb.perl